Hľadáte niečo konkrétne?

Skúste zadať kľúčové slovo/-á.

Avris

  /     /  Informačná bezpečnosť   /  Nesprávnym pohľadom na ochranu údajov môžete veľa stratiť

Nesprávnym pohľadom na ochranu údajov môžete veľa stratiť

Často sa stretávam s názormi, že ochrana údajov nie je dôležitá, že implementáciou GDPR alebo investíciami do informačnej bezpečnosti sa nič nezmení a ak niekto bude chcieť, aj tak údaje zneužije, ukradne alebo zlikviduje.

Platí, že čím viac účinných opatrení je implementovaných, tým je vo firme menej bezpečnostných rizík.

Keď sa pozrieme na osobné údaje v porovnaní s údajmi obchodnými, finančnými a inými, ktoré firmy dlhodobo vytvárajú, investujú do nich a mnohokrát sa stanú nevyhnutnými, zistíme, že pomyselná hranica, ktorá ich oddeľuje, je veľmi úzka.

Z tohto dôvodu je potrebné si uvedomiť význam implementácie GDPR a normy ISO 27001 v ochrane údajov. Zavádzajú organizačné, technické a bezpečnostné opatrenia, ktoré chránia všetky osobné, ale aj ostatné údaje a informácie v spoločnosti. Firma sa tak komplexne chráni pred únikom, zneužitím alebo stratou údajov a nepriaznivými až likvidačnými následkami, ktoré s tým súvisia.

Avris Blog Ochrana údajov

Systém riadenia informačnej bezpečnosti podľa požiadaviek normy ISO 27001 zavádza zásady a pravidlá, ako si veľmi cenné i dôležité údaje a informácie majú firmy chrániť a tento stav trvalo udržiavať. Ochrana údajov sa neberie na ľahkú váhu. Je vhodné si povedať, že pri nesúlade s platnou legislatívou alebo podcenení bezpečnostných opatrení hrozí firmám mnoho ďalších rizík:

  • sankcie (napr. 4 % celosvetového obratu alebo 20 mil. eur v prípade GDPR, 300 000 eur podľa zákona o kybernetickej bezpečnosti),
  • súdne spory so subjektmi dotknutými nesúladom (napr. pri úniku osobných údajov, v prípade kybernetického útoku),
  • trestnoprávna zodpovednosť (v prípade vážneho porušenia zákona),
  • narušenie chodu organizácie (až po zastavenie jej činnosti),
  • finančné straty (napr. pri strate zákazníkov),
  • náklady na dodatočné opatrenia,
  • narušenie dobrého mena (napr. medializáciou nesúladu).

Áno, treba uznať, že ani zosúladenie s legislatívou, ani zavedenie prísnych organizačných, technických a bezpečnostných opatrení nezabezpečí stopercentnú ochranu údajov. Avšak, všetky tieto opatrenia prispievajú k minimalizácii rizík. Platí, že čím viac účinných opatrení je implementovaných, tým je vo firme menej rizík.

Ak si spoločnosť nie je istá aktuálnym stavom ochrany jej firemných a osobných údajov, existuje viacero možností, ako si môže získať prehľad. Záleží pritom najmä na type údajov, ktorých zabezpečenie má byť preverené. Spoločnosť si môže nechať urobiť napr. audit (analýzu) GDPR alebo využiť niektoré z moderných postupov na zistenie priestupnosti informačnej siete podniku v podobe penetračných testov či útokov pomocou sociálneho inžinierstva. Tie preveria bezpečnosť firemných údajov pred reálnymi útokmi, ktoré môžu stáť spoločnosť nemalé finančné prostriedky.

Čo všetko je vo firme potrebné urobiť?

Povedzme si príklad z bežného života. Keď si zamykáme auto, dom alebo byt, inštalujeme kamerový systém alebo alarm, nemôžeme si byť istí, že je o náš majetok stopercentne postarané. Robíme to však preto, aby sme množstvo rizík zredukovali na minimum. Pri firemných údajoch je princíp rovnaký.

Každá firma by si mala zvážiť, ako si cení svoje údaje a podľa toho investovať do informačnej bezpečnosti. Je vhodné si interne zanalyzovať, s akými finančnými a procesnými následkami je potrebné počítať, ak by firma o údaje prišla. Následne si vybrať spôsob ochrany a zaviesť opatrenia, ktorých dodržiavanie sa bude priebežne kontrolovať. Dôležitá je tiež informovanosť všetkých zúčastnených strán.

Neviete si s ochranou údajov poradiť?

K ochrane firemných údajov je potrebné postaviť sa zodpovedne a neponechať údaje otvorené, nechránené a ohroziť tak firmu a jej majetok. Ak si neviete s ochranou údajov poradiť, osloviť môžete odborníkov.

 

Autor: JUDr. Monika Fegyveres Oravská, managing consultant
PRIDAŤ KOMENTÁR

Prihláste sa k odberu nášho Newslettra.

Registrácia

Zásady spracúvania osobných údajov prevádzkovateľom Avris Consulting, s.r.o. nájdete v Ochrane osobných údajov

Odoslaním údajov súhlasím s ich spracúvaním na účely registrácie. Súhlas je dobrovoľný a môžem ho kedykoľvek odvolať.

Resetovať heslo

Radi Vám pomôžeme
Zásady spracúvania osobných údajov prevádzkovateľom Avris Consulting, s.r.o. nájdete v Ochrane osobných údajov